JSSA システム監査学会
  

第28回研究大会講演要旨

(2014/5/29 updated)


ホーム研究大会>第28回研究大会講演要旨


講演・報告要旨一覧

プログラム・参加受付はこちら
 <基調講演> 「ITの進化が突きつける新たな経営課題」
  "New Business Challenges driven by IT Innovation"
                   日本オラクル株式会社 副社長執行役員 椎木 茂 氏
 モバイルやソーシャル、クラウドなどによる新たなITプラットフォームが企業基盤となりつつある現在、ITの活用度合いが企業経営を左右すると言っても過言ではない。日本企業においても激しいグローバル競争に打ち勝つための高度なIT活用が求められている。売上拡大に直結する営業やマーケティング機能の強化、従業員パフォーマンスを最大化するための人材活用・ワークスタイル変革、ビジネス状況を即時に把握し迅速な経営判断に活かす事業管理基盤。止まることのないITの進化がもたらす企業経営への影響を、国内外の革新的な事例を交えて考察する。


 <講演> 「進化するITと監査−サイバーセキュリティの観点から」
  "The Audit for Advanced Information Technology the point of view of cyber security"
                   デロイト トーマツ リスクサービス株式会社 代表取締役社長 丸山 満彦 氏
 スマートデバイスやクラウド技術が当たり前に使われている。
 また、利用の側面でも、ビックデータの活用が今後の課題となっている。
 そのような環境において、監査(広い意味でいえば、モニタリング機能)はどのようにあるべきであろうか。
 特にサイバーセキュリティの観点から考えていきたい。



報告(専門監査人部会活動報告/研究プロジェクト成果報告)
<情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト 合同成果報告>
  「改訂情報セキュリティ規格の中小組織への有効活用」
  "Effective application of the revised information security standard to small and medium-scale organizations"
株式会社ピーアンドアイ 長野 加代子 氏
 情報セキュリティ規格が改訂された機会を捉え、主として次の3点に関して研究した成果を報告する。
1. 改訂された規格の主要な改訂内容を確認し、改訂の意図を明らかにする。
2. 中小組織に対して規格を有効利用するという立場から、改訂の意図と内容を深読みし、利用に際して考慮すべき重要なポイントを浮き彫りにする。
3. 改訂された規格を中小組織に有効に活用するための考え方と方法を提案する。


 <個人情報保護専門監査人部会活動報告>
  「ビッグデータとシステム監査」
 "System Audits and Big Data"  
          株式会社SCC  内桶 孝雄 氏
 2013年には、JR東日本がSUICAの乗降履歴データを外部の事業者に売却しようとして大きな批判を浴び、最終的には断念したという事件があった。また、政府においては、「パーソナルデータに関する検討会」が2013年9月から開催され、2015年に個人情報保護法を改正することを前提として、2014年6月に法改正の内容を大綱として決定・公表するというロードマップが示された。パーソナルデータを含むビッグデータを流通させる上での問題点が指摘され、また、それらの問題をどのように解決するのかの議論が活発になされている。現行制度の枠組みの中でパーソナルデータを取り扱うシステムにおけるシステム監査とはどうあるべきか、またどうすべきかを考察する。


<会計システム専門監査人部会活動報告>
  「システム監査と経営ビジョン−実態への一考察」
  "System Audit relates to Management Vision - Thinking from real audit works"
      Right Way・SAC株式会社  平塚 康哲 氏
 システム監査を行って来た監査人として、経営層へ行う報告において、時として経営上 重要と思える事項を指摘する場面に遭遇する。その様な実例的経験から考察し、システム 監査の役割について考える。


 <リスクマネジメント研究プロジェクト研究成果報告>
  「システム監査と事業継続マネジメントシステム(BCMS:Business Continuity Management System) −持続的成長と人財育成の関係− 」
  "BCMS: Business Continuity Management System−The Relationship of Sustainable Growth and Human Resources Development−"
                                 イオンエンターテイメント株式会社 足立 憲昭 氏
 当研究プロジェクトは、事業継続マネジメントシステム(BCMS)に関してJRMS2010成熟度モデルを活用しながら、各経営レベルにおけるマネジメントスタイルの特徴を研究してきた。メンバーが、次々起こる不祥事の事例について、その背景から当該企業の成熟度レベルを評価した。その結果、成熟度レベルを決める要素は企業規模(売上高、従業員数等)ではなく、経営者の倫理観、行動規範の構築、経営層・マネジャー層・現場層が一体となった情報の共有化やコミュニケーションが極めて重要と見えてきた。このことから中小企業においても成熟度モデルを活用して、計画的に人財を育成しながら、着実にリスクマネジメント態勢を構築すれば、成熟度W、Xも可能になると言える。
 なお、上記に述べたことは、システム監査・管理基準に反映を図る所存である。


 <情報セキュリティ対策の診断研究プロジェクト研究成果報告>
  「従業員のSNS利用に関する企業の情報セキュリティ対策の研究−利用場面へのリテラシーチェックリストの適用− 」
  ”Research of diagnosis of the security countermeasures of the company about employees SNS use−Application of literacy checklist to use scene− ”
                       情報セキュリティ対策の診断研究プロジェクト 木村 裕一 氏
 従業員の不適切なSNS利用により企業や従業員が被害を受ける事故が発生している。2012年成果として、そのセキュリティ対策としてリテラシーチェックについて、およびそれによる診断結果を研究大会にて発表した。2013年は従業員教育のためのガイドラインとして、SNSリテラシーチェックに新たにILAS(青少年のインターネット・リテラシーに関する指標)の観点を取り込んで、教育あるいは監査に適用するリスク体系をまとめる。
 中小規模企業の情報セキュリティ対策の評価・診断のため、この方法の改善および推進を図った。


  <ITガバナンスと内部統制研究プロジェクト研究成果報告>
  「企業は情報を活用できているか」
  "How to use big date"
 公認会計士、システム監査技術者  清水 惠子 氏
 企業は、会員情報など多くの情報を収集し、また、多くの企業がネットワークの活用を進めているが、情報の管理とその活用の状況はどうだろうか。現状の課題を整理する。


 <法とシステム監査研究プロジェクト研究成果報告>
  「外部委託先管理のガバナンスとマネジメント−システム監査の視点から」
  "Governance & Management Process of Outsourcing Technology Services - Review Points for IT Auditor"
                  システム監査技術者、CIA、CISA  成田 和弘 氏
 開発プロジェクトでは、専門的な作業を外部委託することが一般的であり、開発作業を一括してアウトソーシングすることも少なくない。開発プロジェクトの成功率は3割程度ともいわれ、ベンダーとユーザはこのリスクをコントロールして協働する必要がある。ベンダーのプロジェクトマネジメント義務違反とユーザの協力義務違反が争われた裁判、システム更改時に埋め込まれたバグによる賠償責任が問われた裁判等を教訓に、このようなリスクの発現を防ぐために、システム監査でどのような観点で検証すべきかを、COBITフレームワーク等の最新の国際標準を参考に、システム管理基準の記述内容との比較・検証を交えて考察する。


 <共通フレーム2013をベースとしたシステム管理基準検討研究プロジェクト研究成果報告>
  「共通フレーム2013をベースとしたシステム管理基準検討研究プロジェクトの概要」その2
  "Overview of the research project of System Management Standards based SLCP-JCF2013”No.2
 
 
             城西国際大学 本田 実 氏
 2013年度は、システム管理基準に「共通フレーム2013」のタスクレベルをマッピングし、システム管理基準の過不足についての評価を行った。これはシステム管理基準のコントロールを、SLCPの観点から網羅性を評価し、新システム管理基準のたたき台を作成する作業を行った。システム管理基準になく「共通フレーム2013」にあるもの、「共通フレーム2013」のタスクレベルにはなくシステム管理基準にあるものの整理を行った。
 また、システム管理基準のコントロールとして利用できる「共通フレーム2013」のタスクレベルを、一部コントロールとしての表現に修正し、新システム管理基準のversion0.8を作成する。


 <IT監査保証の判断基準研究プロジェクト研究成果報告>
  「Webの利用で加速度的に変化する環境にいかに対応すべきか−新COSOを参考に−」
  ”How we should cope with Extremely changing Web environment - Peter Drucker’s Advice and New COSO suggestion - ”
              公認会計士 松尾 明 氏
 ピータードラッカーは、Webを利用する社会の未来を適格に洞察している。
 本プロジェクトでは、ピータードラッカーの著書を基本テキストとして、新COSOの考え方をベースに、Web利用により加速度的に変化する環境への対応について研究を行っている。
 基本となるドラッカーの考え方と、今後の研究方針について報告する。


 <システム監査の多様性研究プロジェクト研究成果報告>
  「システム監査の多様性研究プロジェクト報告−システム監査の新たな問題を考える−」
  ”Accomplishment Report by "Diversity in System Audit" Research Project - Discussion of New Issues for System Audit - ”
                京都聖母女学院短期大学 荒牧 裕一 氏
 ICTを利用した情報システムが高度化し適用範囲が広がるに従って情報システム関連の評価に対する要求も多様化し、システム監査においても従来と違う視点が求められている。
 本研究会では、SNS、ビッグデータ、知的財産保護等、多様化する情報システムについて、システム監査の視点からの検討を行っているが、その初年度の活動成果を報告する。


研究発表
 <研究発表1>
  「サプライチェーンにおける日本企業の情報セキュリティガバナンスに関する研究」
  "Survey on information security governance in the supply chain of Japanese companies "
情報セキュリティ大学院大学  久保 知裕 氏/原田 要之助 氏
コメンテータ  大阪成蹊大学  松田 貴典 氏
 原材料や商品、サービスなど、日本企業のサプライチェーンは国内、系列グループで完結した形態から、海外への展開、グループ外への分散化が進み、複雑な形態に変化してきている。また、サプライチェーンには各社間をまたいだ情報の流通、情報システムの連携が不可欠になっている。
 情報流通への依存度が高くなることで、情報セキュリティリスクも高くなる。適切なリスク管理ができなければサプライチェーンの競争力を阻害する。
 情報セキュリティ大学院大学が実施したアンケート調査によれば、このリスクに対して、日本の中小企業の認識、対応策が十分であるとはいえない。また、日本や海外の大企業のリスク認識や対応策について公開資料を分析し、企業規模の違いによる違い、日本企業と海外企業の違いを比較する。さらに、ISO/IEC27036等の国際標準の動向を踏まえて、適切なリスク管理の在り方について提案する。  


 <研究発表2>
  「ヒューマンエラーに起因する情報セキュリティインシデントの対策について」
  "Holistic approach to reduce personal information breaches caused by human error "
情報セキュリティ大学院大学  新原 功一 氏/原田 要之助 氏
コメンテータ  日本大学  齋藤 敏雄 氏
 情報セキュリティ大学院大学は、日本ネットワークセキュリティ協会 被害調査WGから「2011年情報セキュリティインシデントに関する調査報告書」「2011年情報セキュリティインシデントに関する調査報告書〜発生確率編〜」の詳細調査データについて研究目的による利用許諾を得て、ヒューマンエラーに起因する情報セキュリティインシデントの分析を行った。本研究は、詳細調査データを用いた分析を元に、ヒューマンエラーに起因する情報セキュリティインシデントの特徴を明らかにし、更にこのヒューマンエラーを低減するための対応方針を提案する。



▲このページのトップに戻る